Можем дать вам следующие общие рекомендации:
1. Минимизировать перечень собираемых и обрабатываемых персональных данных, использовать только те данные, которые действительно необходимы, отказаться от практики накопления персональных данных "на всякий случай", своевременно уничтожать персональные данные при достижении цели их обработки;
2. Обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели);
3. Хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (например, договоры) в разных, не связанных друг с другом непосредственно, базах данных. Рекомендуется использовать для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и хранить их отдельно от предыдущих двух баз;
4. Использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности;
5. Своевременно информировать Роскомнадзор о признаках и / или наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов;
6. Принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем;
7. Назначить ответственного за защиту персональных данных, наделив его необходимыми полномочиями.